据外媒 11 月 28 日早间消息，在打车服务 Uber 披露信息称归属于司机和用户的 5700 万个账号被盗之后，美国国会的一些参议人员已将矛头对准了这家公司，但 Uber 仍着眼于 IPO（首次公开招股）上市，因此来自国会的这种压力则代表着一个最新的监管难题。 民主党参议员麦克·沃纳（Mark Warner）致信该公司 CEO 称：“ Uber 的行为引发了有关公司是否遵守了州政府和联邦政府相关法规的严重疑问”。沃纳最近以来一直都是主要的科技业批评人士之一，尤其是针对所谓的 “通俄门” 事件。 参议院共和党第三号人物、商业委员会（Commerce Committee）主席约翰·图恩（John Thune）和其他三名参议员则在另一封信函中表示，上述数据被盗事件是个“值得进一步调查的严重事件”，并指出 Uber 向黑客付钱之举尤其 “令人不满”。这封信的联合署名人还包括参议院金融委员会共和党领袖奥林·哈奇（Orrin Hatch）等。这两封信函均要求 Uber 作出回应。 稿源：，稿件以及封面源自网络；

据国外媒体报道，在优步（Uber）披露曾掩盖影响 5700 万用户的大规模数据泄露事件后，全球多个国家政府对该公司展开了调查。11 月 22 日，优步发布声明，承认 2016 年曾遭黑客攻击并导致数据大规模泄露。根据这份声明，两名黑客通过第三方云服务对该公司的服务器实施了攻击，获取了 5700 万名用户数据，包括司机的姓名和驾照号码，用户的姓名、邮箱和手机号。而当时的优步管理层为隐瞒这一事件竟向黑客支付了 10 万美元封口费，要求黑客保持沉默并删除相关数据。目前，涉及此事的优步首席安全官和他的一位副手已被解雇。 据美国媒体报道，澳大利亚及菲律宾政府周三表示，它们将就优步对数据泄露事件的应对措施展开调查。新加坡个人数据保护委员会也表示，已了解到这一事件，并正与优步接触以获得更多细节。在欧洲，优步面临意大利、荷兰和英国至少三个国家的数据保护机构的调查，以及高达 50 万英镑的罚单。英国信息专员办公室副专员詹姆士·约翰斯通在一份声明中表示：“如果英国公民受到影响，我们应当接到通知，以便我们对事件的影响进行评估 ”。 根据英国法律，不向用户和相关机构通报信息泄露事件的，最高会被处以 50 万英磅罚款。约翰斯通说：“故意向监管机构和公民隐瞒信息泄露事件的企业，会被课以金额更高的罚款。”此外，优步在美国本土也将面临多个州和联邦政府的调查。据路透社报道，目前美国已有 4 个州的总检察长表示，他们已经对这一事件展开调查，分别是康涅狄格州、伊利诺斯州、马萨诸塞州和纽约州。马萨诸塞州总检察长莫拉-海利（Maura Healey）表示：“我们对优步的行为表示严重关切 ”。 联邦政府方面，美国众议员弗兰克-帕洛恩（Frank Pallone）呼吁国会举行听证会，“如果优步确实曾通过向黑客付钱掩盖信息泄露事件，这里边就可能存在其他问题，必须对此展开调查 ”。随后，美国联邦贸易委员会（FTC）也表示，已经在关注此事，但没有披露是否已经启动正式调查程序。美国联邦贸易委员会一位发言人说：“我们通过媒体报道获悉信息泄露事件后优步及其高管的行为，我们正在评估由此引发的严重问题。” 稿源：，稿件以及封面源自网络；

据报道，用来奖励特别优秀学生的国家奖学金，在江苏、广西、陕西一些高校进行名单公示时出现了隐私信息泄露现象。记者注意到，河海大学、广西民族大学、西安音乐学院等高校近几年在进行国家奖学金候选人或获得者名单公示时，均披露了学生完整的公民身份证号码。 其中，河海大学曾对 2013 年度国家奖学金获奖学生初审名单以及 2014、2015 年度本科生国家奖学金候选人名单进行公示时，在公布了学生的姓名、院系、专业、学号、性别、民族、入学年月之外，还公布了学生完整的公民身份证号码。 广西民族大学则于 2013、2014 年进行年度研究生国家奖学金候选人名单公示时，在公布了学生姓名、性别、民族、院系、学号、入学年月之外，公布了学生完整的公民身份证号码。 西安音乐学院 2012 年对该学年国家奖学金获奖学生初审名单进行公示时，在公布了学生姓名、院系、学号、性别、民族、入学年月之外，公布了学生完整的公民身份证号码。 对此，西安音乐学院学工部一名负责老师 11 月 17 日下午回应称，“要给每个获奖学生发奖金，因此需要身份证号公示进行名单核实 ”。广西民族大学研究生处一名老师接受采访时则表示，校方一直以来都是这个做法，你提醒了之后就可以不放（身份证号），目前上级部门还没说这种要求。河海大学学生处一名负责老师表示，当初曾考虑过把完整的身份证号放上去有无必要。 但是既要公示、又要让学生核对清楚个人信息，没有想到更好的解决办法最大限度地保护学生的隐私。 记者检索到，同样是国家奖学金获奖候选人名单公示，江西财经大学今年 10 月 13 日于其研究生院官网发布的《 2017 年研究生国家奖学金获奖候选人名单公示》中，就公布了学生姓名、院系，并无身份证号码。 此外，东华大学在 2016 年博士研究生国家奖学金获奖学生公示时，在公布了学生姓名、性别、民族、院系、学号、入学年月之外，并没有公布身份证号码。 西南财经大学会计学院 2016 年 9 月在进行国家奖学金候选人公示时，只公布了该院系学生的姓名，亦无身份证号码。 江西财经大学 2017 年研究生国家奖学金获奖候选人名单部分公示内容，并无身份证号。河海大学学生处负责老师 17 日下午接受采访时表示：“也许我们之后能改变国奖公示的办法，可以在公示的时候把身份证号去掉，学生当面来签字核对时再看自己有没有填错身份证号。” 稿源：、澎湃新闻，稿件以及封面源自网络；

谷歌近期公布了一份长达一年的 Gmail 账户劫持调查的结果，发现网络钓鱼对用户的风险要比数据泄露的风险要大得多，因为他们收集了更多的信息。现在，几乎每周都有新数据泄露事件被发现，如果说受害者在多个网上账户上使用相同的用户名和密码，那么他们的账户很容易就被劫持。 虽然说数据泄露对互联网用户来说是个坏消息，但谷歌的研究发现，网络钓鱼对其用户来说，要比用户劫持事件的威胁要大得多。为此，谷歌还专门访问了几个私人黑客论坛。而结果显示，目前全球有 19 亿人受到了数据泄露的影响。像一些交友网站的用户，他们的绝大部分的资料都会在一些私人论坛上被交易。尽管数量巨大，但在数据泄露事件中，只有 7％ 的凭据与其目前正在被使用的，数十亿 Gmail 用户使用的密码相匹配，而钓鱼攻击中暴露的凭证中，有四分之一与当前的谷歌密码相匹配。 研究还发现，网络钓鱼的受害者比随机的谷歌用户更有可能被劫持的机率高 400 倍，而这一数字对于数据泄露的受害者来说是 10 倍。这样的数据都证明了网络钓鱼网站的威胁到底有多大。就拿 Phishing 工具包来说，它包含了用于流行和有价值站点的预先打包的虚假登录页面，如Gmail、Yahoo、Hotmail 和在线银行。他们经常被上载到受损的网站，并自动将捕获的凭证发送到攻击者的帐户中。网络钓鱼套件会产生更高的帐户劫持率，因为它们捕获了谷歌在用户登录时用于风险评估的详细信息，例如受害者的地理位置，秘密问题，电话号码和设备标识符等等。 研究人员发现，10000 个网络钓鱼工具中有 83％ 会收集受害者的地理位置，18％ 会收集电话号码。相比之下，只有不到 0.1％ 的键盘记录器会收集手机细节和秘密问题。基于最后一次登录的地理位置，有 41％ 的网络钓鱼工具包用户来自尼日利亚，这些工具包用于接收被dao qu 了凭证的 Gmail 帐户。而美国的网络钓鱼攻击工具用户排名第二，占 11％ 。 劫持受害者的电子邮件提供商和地理位置 有趣的是，研究人员发现，72％ 的钓鱼工具都使用 Gmail 帐户向攻击者发送捕获的证书。相比之下，只有 6.8％ 使用雅虎。Gmail 用户也是最大的网络钓鱼受害者群体，占研究总数的 27％ ，而雅虎用户受害者的比例为 12％ 。但是，雅虎和Hotmail 用户是最大的泄露凭据受害者，他们占 19％ ，其次是 Gmail ，占 12％ 。 此外，他们还发现大多数网络钓鱼受害者来自美国，而大多数键盘记录器的受害者来自巴西。最后研究人员指出，双重因素身份验证可以减轻网络钓鱼的威胁，但是很多人都嫌这样太麻烦，所以他们都不太愿意使用双重验证。 稿源：cnBeta、威锋网，封面源自网络；

HackerNews.cc 11 月 2 日消息，波兰研究人员 Wojciech 近期发现澳大利亚数据泄露，近 5 万名政府和私营企业员工的敏感信息在线曝光，其中包括用户姓名、身份证号码、密码、电话号码、地址、信用卡信息、员工工资等详细信息。据称，这些数据均由第三方承包商托管的亚马逊 AWS S3 存储器配置不当导致。 调查显示，这一事件严重影响了国家财政部（约 3,000 名员工）、澳大利亚选举委员会（1,470 名员工）、国家伤残保险机构，以及荷兰合作银行和金融服务公司 AMP 等重要机构。然而，AMP 受到此次入侵事件的影响最为严重，有超过 2.5 万名员工的数据记录公开暴露。 AMP 发言人证实：“公司员工的部分信息确实在第三方供应商不经意下在线泄露。目前，我们已经从该存储器中移除了所有数据。AMP 极其重视用户信息安全，并将针对第三方供应商处理数据的方式进行严格处理。但对于此次泄露事件的发生，我们深表歉意。不过，好在没有任何客户遭受网络钓鱼攻击。” 澳大利亚总理和内阁的发言人在接受采访时表示，一旦澳大利亚网络安全中心（ACSC）发现此类事件后，他们将会立即联系相关承包商并与他们合作，以确保用户信息安全。据报道，Wojciech 声称他于 10 月份就已向澳大利亚国防部和 AMP 公司发出警告，但只收到政府机构的回应。目前，尚不清楚黑客是否已在线访问这些数据，因此研究人员提醒用户提高自身网络安全意识，以防黑客鱼叉式网络钓鱼攻击活动。 △ HackerNews.cc 在此提醒国内使用 亚马逊 AWS S3 存储服务的企业及时自查，以避免发生数据泄露造成不可挽回的损失。 原作者：India Ashok，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 10 月 31 日消息，研究人员近期发现马来西亚通信与网络运营供应商的大量数据在线泄露，超过 4600 万移动用户的敏感记录于暗网出售，其泄露数据包括用户姓名、预付费和后付费电话号码、地址、客户详细信息，以及 SIM 卡数据。 调查显示，暗网中所出售的数据还包括马来西亚医务委员会（MMC）、马来西亚医学协会（MMA）和马来西亚牙科协会（MDA）等超过八万条受损记录。此外，据马来西亚在线新闻网站 Lowyat.net 透露，这是网站第一次就数据泄露事件进行详细报道，其马来西亚约 3200 万人口，这意味着泄露的数据可能属于具有多个手机号码的用户，也可能是国外游客，亦或访问本国老人的境外人群。 目前，研究人员尚不清楚这些大量数据是如何被泄露并于暗网出售，也不了解暗网对于这些数据的单条售价是多少。据称，用户数据可能已被地下论坛发布，也可能已被成功交易。不过，研究人员已将所有从暗网收集到的被盗数据样本移交至马来西亚通信与多媒体委员会（MCMC）。随后，他们将继续展开深入调查。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据英国《每日电讯报》10 月 25 日报道，百慕大离岸律师事务所 Appleby 近期遭黑客攻击，其海外合法客户的财务细节在线泄露。知情人士获悉，全球最富有的部分客户普遍遭受威胁。目前，他们正委托律师与公关公司维护自身与企业名誉。 律师事务所 Appleby 近期证实，公司已收到国际调查记者协会（ICIJ）对于此次泄露事件的调查报告。另外，“全球左倾媒体组织联盟”也宣称于未来数天内公布相关信息。 国际调查记者协会（ICIJ）成立于 1997 年，是一支跨国调查记者联盟，旨在维护国际公共利益。此外，他们所关注的问题包括跨国犯罪、腐败以及权力问责等重大事件。据悉，该组织曾于 2015 年针对律师事务所 Mossack Fonseca 泄露的巴拿马文件进行了调查，在线曝光了全球数百名公众人物的金融隐藏交易。 Appleby 公司表示：“此次泄露事件的发生对于我们的业务造成了一定影响，导致部分客户对公司进行了多项指控。目前，我们已针对此次事件进行了彻底的调查，结果显示并没有证据表明存在任何不当行为，无论是公司还是客户。因此，我们驳斥任何指控，并很乐意配合所有合法授权的调查。” 此外，公司还发表声明称：“我们致力于保护客户的数据，因为在去年发生的数据安全事件后，我们已经严格对其系统的网络安全与数据访问进行了审查安排，并得到知名 IT 取证团队的审阅和测试，我们相信我们的数据极其安全 ”。目前，并没有任何关于黑客攻击或系统受到影响的细节暴露，不过 Appleby 正通知客户，其信息存在安全隐患。 原文作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，eBay 员工 Chris Barcellos 于 10 月 12 日在亚太网络信息中心（APNIC） 托管的 Whois 数据库中发现哈希密码在线泄露，或可导致相关域名遭黑客劫持，从而允许攻击者访问与修改域名的所有权限。随后，研究人员立即上报 APNIC 进行处理。据悉，公司于本周一证实，APNIC 在该问题被曝光的第二天已妥善解决。 APNIC 副总监表示：“虽然密码的详细信息是散列分布的，但如果黑客使用正确的工具进行破解，那么他们极有可能从哈希表中排出正确密码后在域名维护程序中植入自己的详细信息，从而有效接管合法网站。 调查显示，在线暴露的密码主要用于保护 Whois 数据库管理员和 IRT 目标对象的访问记录。顾名思义，Whois 数据库管理员主要针对域名授权管理人员/组织信息的存储；IRT 目标对象主要针对公司安全事件响应团队的信息存储。APNIC 表示，此次事件的发生是因为技术人员在 APNIC Whois 数据库升级期间无意将哈希密码存储在 2017 年 6 月的可下载列表中。 不过，公司现已经将所有管理人员和 IRT 目标对象的密码进行了安全转移。好在，尚未发现任何滥用迹象。目前，研究人员正进行事后审查，以确保此类事件不再发生。 原文作者：Catalin Cimpanu，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 10 月 18 日报道，网络安全专家近期发现一份逾 27G 转储文件，其包含 3000 万南非公民的身份号码、个人收入、年龄、就业历史、公司董事身份、种族群体、婚姻状况、职业、雇主和家庭地址等敏感信息。 知名媒体 iafrikan 透露，该批数据来源于 Dracore Data Sciences 企业的 GoVault 平台，其公司客户包括南非最大的金融信贷机构——TransUnion。随后，安全研究人员经调查后发现该公司将用户数据发布到一台完全未经保护的 Web 服务器上，其允许任意用户进行访问。 研究人员表示，这可能是南非最大的一次数据泄露事件。虽然尚未发现数据已被黑客利用，但这可能只是时间上的问题。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 13 日消息，凯悦酒店集团近期证实，旗下 41 家酒店的支付系统已遭黑客入侵，其中美国、中国、墨西哥等 11 个国家的客户数据在线泄露。然而，中国受影响情况最为严重，因为近一半受影响酒店位于中国境内。调查显示，受影响客户信息包括持卡人姓名、卡号、到期时间以及内部验证码。目前，凯悦酒店正与第三方安全专家、信用卡公司以及权威机构展开全面调查。 据悉，安全研究人员在凯悦酒店的支付系统中发现未经授权的访问记录，其受访时间从今年 3 月 18 日至 7 月 2 日。此外，根据调查，他们了解到，这种未经授权的数据访问由第三方将恶意软件代码植入酒店 IT 系统造成。 凯悦酒店的全球业务主管 Chuck Floyd 在一份声明中表示：“我们已经通知受影响客户并为此次事件的发生感到抱歉。目前，酒店已加强系统网络安全与防御体系，以防黑客再次入侵。不过，好在现在并没有迹象表明其他敏感信息遭到影响。” 知情人士透露，凯悦开始向所有受害客户提供相关咨询，以便了解他们是否因此遭受黑客攻击以及其他可疑活动。目前，公司尚未透露多少客户在此次违规中可能受到影响。不过，这并非凯悦第一次发生数据泄露，这是过去两年内的第二起事件—— 2015 年年底，凯悦酒店首次确认其支付系统感染恶意软件，影响约 50 个国家的 250 家酒店系统。 原作者：Hyacinth Mascarenhas，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。